JWT相关学习(纯天然手写)
JWT(Json Web Token)是一种token认证方式,相对于传统的session认证方式。
一、为什么需要认证?
一个系统,如果想使用其功能,势必要进行登录操作,登录验证用户名和密码,通过http通讯协议传输,但是HTTP协议属于无状态协议,则登录之后的http通讯如果没有认证,那么任何未登录的人都可以去访问了。所以需要认证这种方式来杜绝这样的事情发生。
二、传统session认证方式有如下几个缺点:
1、用户登录后session需要存储在服务端中,当有大量用户登录时候,服务端会存储大量的session,缺点就是占用大量资源。
2、服务端session存储位置如果为内存,则会影响负载均衡。
3、客户端将session存放在cookie中,如果其他人获得cookie,则可进行伪造。
三、jwt的优点
1、服务端无需存储jwt,不需要占用大量资源。
2、jwt为json格式,占用流量小。
3、因为无状态不存储,所以完全不影响负载均衡。
四、JWT说明:
JWT分为三部分,head(头),payload(载荷)以及签名。
其中头head写明算法类型(大部分为固定)并且使用Base64进行编码,载荷payload存放传输的信息并且使用Base64进行编码,对于我们系统来说是JwtUser这个对象的JSON形式字符串以及失效时间(我们系统当前为24小时)。
签名就是讲上述head和payLoad进行Base64的字符串连接以后,加盐,组合加密,其中盐是存放在服务端里,对于我们系统来说,是服务端配置文件中存储,
最后的结果就是 head头的Base64编码结果 + ‘,’ + payLoad的Base64编码结果 + ',' + 签名。
五、实现方式:
使用jjwt来进行实现(代码以及quickStart可以在GITHUB上查看)
六、传输方式:
客户端http协议调用接入,接入系统RPC协议调用账户系统,账户系统如果登录成功,则生成jwt返回给接入系统,接入系统将jwt字符串返回给客户端,客户端以后每次对于该用户的http调用都在http请求头信息中添加此jwt字符串。接入收到jwt之后,进行解析,如果解析出错则异常抛出不予操作。如果JWT正常,则继续操作。